PHP培訓(xùn)之php中一些安全性防止問題建義（下）

php中一些安全性防止問題建義。只要我們作好了各類操作就可在基本防止一些朋友利用網(wǎng)站本身的漏洞進(jìn)行網(wǎng)站操作了，很多在php中都有的如XSS用htmlentities()預(yù)防XSS攻擊


4、 驗(yàn)證數(shù)據(jù)來源，避免遠(yuǎn)程表單提交
不要使用$_SERVER['HTTP_REFERER']這個超級變量來檢查數(shù)據(jù)的來源地址，一個很小的菜鳥黑客都會利用工具來偽造這個變量的數(shù)據(jù)，盡可能利用Md5，或者rand等函數(shù)來產(chǎn)生一個令牌，驗(yàn)證來源的時候，驗(yàn)證這個令牌是否匹配。

5、 保護(hù)會話數(shù)據(jù)，特別是Cookies
Cookie是保存在用戶的計算機(jī)上的，保存之后任何用戶都有可能出于某種原因更改他，我們必須對敏感數(shù)據(jù)進(jìn)行加密處理。Md5、sha1都是個不錯的加密方法。

6、 利用htmlentities()預(yù)防XSS攻擊
對用戶可能輸入腳本語言的地方的數(shù)據(jù)進(jìn)行htmlentities()操，將多數(shù)可以產(chǎn)生程序錯誤的用戶輸入進(jìn)行實(shí)體化。記住要遵循第一個習(xí)慣：在 Web 應(yīng)用程序的名稱、電子郵件地址、電話號碼和帳單信息的輸入中用白名單中的值驗(yàn)證輸入數(shù)據(jù)。